Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Moodle versions 4.1.x antérieures à 4.1.10
- Moodle versions 4.2.x antérieures à 4.2.7
- Moodle versions 4.3.x antérieures à 4.3.4
L'éditeur précise que les versions antérieures à 4.1.x sont vulnérables et ne bénéficieront pas de mises à jour de sécurité.
Résumé
De multiples vulnérabilités ont été découvertes dans Moodle. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), une injection de requêtes illégitimes par rebond (CSRF), un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Moodle MSA-24-0007 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458384
- Bulletin de sécurité Moodle MSA-24-0008 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458385
- Bulletin de sécurité Moodle MSA-24-0009 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458386
- Bulletin de sécurité Moodle MSA-24-0010 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458387
- Bulletin de sécurité Moodle MSA-24-0011 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458388
- Bulletin de sécurité Moodle MSA-24-0012 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458389
- Bulletin de sécurité Moodle MSA-24-0013 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458390
- Bulletin de sécurité Moodle MSA-24-0014 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458391
- Bulletin de sécurité Moodle MSA-24-0015 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458393
- Bulletin de sécurité Moodle MSA-24-0016 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458394
- Bulletin de sécurité Moodle MSA-24-0017 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458395
- Bulletin de sécurité Moodle MSA-24-0018 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458396
- Bulletin de sécurité Moodle MSA-24-0019 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458397
- Bulletin de sécurité Moodle MSA-24-0020 du 13 mai 2024 https://moodle.org/mod/forum/discuss.php?d=458398
- Référence CVE CVE-2024-33996 https://www.cve.org/CVERecord?id=CVE-2024-33996
- Référence CVE CVE-2024-33997 https://www.cve.org/CVERecord?id=CVE-2024-33997
- Référence CVE CVE-2024-33998 https://www.cve.org/CVERecord?id=CVE-2024-33998
- Référence CVE CVE-2024-33999 https://www.cve.org/CVERecord?id=CVE-2024-33999
- Référence CVE CVE-2024-34000 https://www.cve.org/CVERecord?id=CVE-2024-34000
- Référence CVE CVE-2024-34001 https://www.cve.org/CVERecord?id=CVE-2024-34001
- Référence CVE CVE-2024-34002 https://www.cve.org/CVERecord?id=CVE-2024-34002
- Référence CVE CVE-2024-34003 https://www.cve.org/CVERecord?id=CVE-2024-34003
- Référence CVE CVE-2024-34004 https://www.cve.org/CVERecord?id=CVE-2024-34004
- Référence CVE CVE-2024-34005 https://www.cve.org/CVERecord?id=CVE-2024-34005
- Référence CVE CVE-2024-34006 https://www.cve.org/CVERecord?id=CVE-2024-34006
- Référence CVE CVE-2024-34007 https://www.cve.org/CVERecord?id=CVE-2024-34007
- Référence CVE CVE-2024-34008 https://www.cve.org/CVERecord?id=CVE-2024-34008
- Référence CVE CVE-2024-34009 https://www.cve.org/CVERecord?id=CVE-2024-34009
